Gobiernos y agencias de inteligencia consiguen programas maliciosos a travs de una serie de empresas privadas, que las desarrollan o las adquieren de otros 'hackers'.

Suelen trabajar en la sombra, al abrigo de las noticias que se publican en medios y redes sociales, pero a veces el nombre de alguna de estas compaas salta a la luz pblica. Acaba de ocurrirle a NSO Group, a quien Facebook acus recientemente de estar detrs de un fallo en WhatsApp que permita espiar a los usuarios solo con hacerles una llamada perdida. La compaa sealada lo neg, como es habitual. Pero su caso ha sacado a la luz el oscuro mundo de las ciberarmas, un negocio millonario en el que participan empresas, Gobiernos y hackers.

Este tipo de empresas mantienen un perfil bajo. Desarrollan herramientas para hackear aplicaciones, mviles y sistemas operativos. Pero se mueven en un terreno legal. Gobiernos, fuerzas de seguridad del Estado y agencias de inteligencia les compran ciberarmas

Qu Gobiernos? En Zerodium tienen una opinin versada sobre el tema. Esta empresa desarrolla sus propias ciberarmas desde 2015, aunque se puede considerar heredera de la francesa Vupen, de los mismos fundadores y que empez en el negocio en 2004. El CEO de Zerodium, Chaouki Bekrar, es taxativo: "Si cualquier representante de un pas desarrollado niega tener capacidades ofensivas, l o ella est mintiendo".

Pero el nombre de los clientes no se concreta. A no ser que haya una filtracin, como le ocurri a la italiana Hacking Team, a quien le sustrajeron 400 gigabytes de informacin confidencial. Entre los documentos figuraban compradores como el FBI, la DEA, Gobiernos de varios pases y tambin, en Espaa, el CNI y la Polica Nacional.

“Si cualquier representante de un pas desarrollado niega tener capacidades ofensivas, est mintiendo”

El discurso de Zerodium puede pasar por el de cualquier empresa de software. "Desarrollamos y compramos exploits [programas malicioso] para las plataformas, aplicaciones y dispositivos ms populares. Damos soporte a Windows, Linux, Mac, iOS, Android y tambin a cualquier tipo de servidor o aplicacin de escritorio", comenta Bekrar en declaraciones a EL PAS a travs del correo electrnico. Llama la atencin lo natural de la expresin "dar soporte a Windows", cuando sus productos sirven para atacar al sistema operativo.

"Nuestros clientes son Gobiernos occidentales en Europa y Norteamrica y usan nuestras capacidades para su seguridad nacional, solo para luchar contra el terrorismo y el crimen organizado o conducir operaciones de inteligencia, como siempre han hecho desde antes de Internet", matiza Bekrar.

Zerodium tambin compra vulnerabilidades a terceros para revenderlas. Yago Hansen, un hacker espaol con experiencia en el sector, explica cmo funciona el intercambio: "T le cuentas la vulnerabilidad a estas empresas y ellas la valoran segn la capacidad de explotacin que tenga". Cuando la empresa adquiere la vulnerabilidad la convierte en un exploit, un programa malicioso para aprovechar el fallo descubierto, y la incorpora a su oferta comercial.

"Las que mejor se pagan son las de smartphones, porque son las que ms les interesan a Gobiernos y servicios de inteligencia", explica Hansen. "La informacin que almacenas en un smartphone, hoy en da, es mayor que la que almacenas en tu ordenador personal". Tambin las vulnerabilidades de WhatsApp o Telegram se encuentran entre las ms valoradas, as como las de ejecucin remota de cdigo. Estas ltimas son capaces de introducir un troyano de forma remota, a travs de una llamada, por ejemplo.

Por estas herramientas se pagan cantidades importantes. Desde luego, mucho ms de lo que pagan las empresas a quienes les ha descubierto el fallo. Hansen toma como referencia la vulnerabilidad de WhatsApp, sobre la que Facebook seal a NSO Group. En una estimacin a vuelo de pjaro, "en el mejor de los casos quiz te puedan dar 10.000 euros por una vulnerabilidad como esa [en Facebook], mientras que ellos te podran dar mnimo 100.000 euros".
Puede que incluso haya ms dinero. Hace unos meses, Zerodium anunci que buscaba vulnerabilidades en WhatsApp, iMessage o para SMS. Estaba dispuesta a pagar hasta un milln de dlares (893.022 euros) por un fallo de este tipo. Por una vulnerabilidad que permitiera hacer jailbreak [conseguir acceso] al iPhone ofreca la friolera de dos millones de dlares (1.786.044 euros).

Vigilar a los vigilantes


La joya de esta industria son las vulnerabilidades de da cero o zero-day. Consisten en un fallo que no se conoce pblicamente. Y mientras sea as, los responsables —del sistema operativo, de la aplicacin— no las corrigen. Son productos perecederos, porque al cabo de unos meses, o a lo sumo algn ao, se acaban descubriendo.
Hansen condena las prcticas masivas, como el espionaje indiscriminado de la NSA que sac a la luz Edward Snowden. Defiende que estos ataques se dirigen normalmente contra criminales y terroristas, aunque reconoce que siempre existe el riesgo de que las vulnerabilidades sirvan para controlar a activistas o grupos polticos. En Mxico, un programa desarrollado por el NSO Group se destin a vigilar a periodistas, activistas y polticos de la oposicin.
Tambin preocupa que estas ciberarmas caigan en malas manos, si bien Hansen enfatiza que las empresas que se dedican a este negocio estn vigiladas: "Los propios Gobiernos que les compran se encargan de vigilar a quin estn vendiendo. Es muy parecido al mercado de armas. De hecho, la licencia que necesita este tipo de compaas es la misma que la de venta de armas. Es material de doble uso (civil y militar)".

Hansen sabe de lo que habla. Tuvo que pedir esta licencia en Espaa porque, durante algunos aos, tuvo una empresa que desarrollaba productos de interceptacin de comunicaciones. Exportaban a una corporacin israel: "Sabamos que estbamos vigilados por todos lados".

Los fallos que mejor se pagan son los de los ‘smartphones’


Aunque a primera vista existen diferencias con la industria armamentstica tradicional, Flix Arteaga, investigador en seguridad del Real Instituto Elcano, explica que la venta de armas es una industria muy gubernamentalizada, donde unas grandes compaas sirven a los Estados. "En el mercado de la ciberseguridad no est tan claro. Es muy difcil monitorizar qu se hace con esasciberarmas aparte de venderlas a los Estados", dice este experto.
"Antes solo estaban las grandes empresas privadas que fabricaban armamento", indica Arteaga. "Ahora hay todo tipo de empresas, como consultoras, que prestan servicios de ciberseguridad, hacen anlisis de riesgo, desarrollan tecnologas de proteccin, de ataque. Esto tiene un valor de mercado para los Estados", aade.

A nivel geopoltico, el comercio de estas herramientas de hacking sigue la estructura de los bloques internacionales. “En el momento que la tecnologa es objeto de confrontacin se busca un bloqueo, como el que Estados Unidos quiere imponer ahora a la transferencia de tecnologas sensibles hacia otros pases. Y el mbito de la ciberseguridad es de los ms sensibles”, detalla Arteaga.

Estados Unidos y Europa son un bloque. Rusia y China forman cada uno el suyo, mientras Corea del Norte es otro. Obtienen ciberarmas desarrollndolas internamente o comprndolas a las empresas privadas, que se limitan a vender a uno solo de los bloques. “Poco a poco lo que se pide es que esto se acabe regulando, igual que se regul, aunque con limitaciones, el comercio de armas”, reflexiona Arteaga. “Lo que pasa es que a ninguno de los grandes pases que tiene esta capacidad ofensiva le interesa una regulacin”.

Fuente:
https://elpais.com/tecnologia/2019/0...74_402185.html

Relacionado: https://foro.hackhispano.com/threads...I-espa%C3%B1ol